Microsoft cuida do IE dia zero com atualização do Patch Tuesday

É o Patch Tuesday novamente, e a Microsoft tem muito para manter os administradores de TI e usuários ocupados este mês. A Microsoft lançou dez novos boletins de segurança para maio, mas os dois que devem receber mais atenção e prioridade são os relacionados ao navegador Internet Explorer.

A Microsoft corrigiu 33 vulnerabilidades neste mês. Existem oito patches classificados como Importantes, que afetam uma variedade de tecnologias e produtos, incluindo o Microsoft Word, o Publisher, o Visio e o Lync, bem como a estrutura.NET e o kernel do Windows. Os dois outros patches restantes são classificados como Crítico e ambos resolvem vulnerabilidades no Internet Explorer.

Marc Maiffret, CTO da BeyondTrust, explica que o MS13-037 afeta todas as versões suportadas do Internet Explorer e, portanto, afeta todas as versões compatíveis do Windows. Ele aponta que três das vulnerabilidades abordadas estão presentes em todas as versões do Internet Explorer, e os invasores provavelmente se concentrarão nelas para atingir o maior número possível de sistemas vulneráveis ​​com o mínimo de esforço.

MS13-037 é o esperado ou planejada, atualização para o Internet Explorer. O MS13-038, por outro lado, é uma adição apressada e de última hora ao inventário do Patch Tuesday. Foi há menos de duas semanas que uma falha de zero dia foi descoberta no IE8.

[Leia mais: Como remover malware do seu PC Windows]

Andrew Storms, diretor de operações de segurança da nCircle (uma empresa Tripwire) "Conforme antecipado, a Microsoft lançou hoje uma atualização crítica para o Internet Explorer 8 que corrige um bug de dia zero pendente usado em um ataque direto contra o Departamento de Trabalho dos EUA. A especulação no início desta semana sugere que o mesmo ataque também visou funcionários da USAID e do Departamento de Energia. ”

Storms elogia a Microsoft pela rápida reviravolta. Ele destaca que passar de consultoria a correção em apenas onze dias é um exemplo de capacidade de resposta da Microsoft para seus usuários, bem como para a comunidade de segurança.

Ross Barrett, gerente sênior de engenharia de segurança da Rapid7, concorda principalmente. Ele comentou que a rápida reviravolta é a Microsoft no seu melhor. No entanto, ele também observa que a previsível barragem de atualizações críticas mensais para o navegador da Microsoft indica um modelo de correção e suporte falho. Ele sugere que a Microsoft adote um sistema como os navegadores rivais Chrome e Firefox, que mudam silenciosamente em segundo plano enquanto as atualizações estão disponíveis.

Em um post no blog, o Qualys CTO Wolfgang Kandek nos lembra que a Microsoft não é o único jogo da cidade. A Adobe também lançou algumas atualizações cruciais hoje. Há atualizações para ColdFusion, Reader e Flash.